Уязвимость rsETH стала одним из самых значимых стресс-тестов для современного DeFi, показав, насколько хрупкой может быть инфраструктура межцепочечной связи — и насколько мощной может стать скоординированная реакция, когда система доведена до предела.

#rsETHAttackUpdate

Взлом rsETH в KelpDAO, произошедший 18 апреля 2026 года, стал переломным моментом в децентрализованных финансах, выявив критические уязвимости межцепочечной инфраструктуры и одновременно продемонстрировав способность отрасли к скоординированному реагированию на кризисы. Этот инцидент, в результате которого было создано и развернуто примерно $292 миллионов неподдерживаемых токенов rsETH на нескольких кредитных протоколах, требует тщательного анализа с технической, экономической и системной точек зрения.

**Техническая архитектура взлома**

Атака была направлена на фундаментальный механизм проверки инфраструктуры моста KelpDAO, основанной на LayerZero. Адаптер rsETH OFT KelpDAO на Ethereum был настроен с использованием сети децентрализованных проверяющих a1-of-1, что означало, что LayerZero Labs выступали в роли единственного ответственного за проверку межцепочечных сообщений. Эта конфигурация, упрощающая операции, создала единственную точку отказа, которая оказалась катастрофической.

Методология злоумышленника показывает глубокое понимание уязвимостей блокчейн-инфраструктуры. Сначала он получил список RPC-нод, используемых DVN LayerZero Labs. Затем он скомпрометировал две из этих нод, заменив легитимные бинарные файлы op-geth на вредоносные версии, которые подавали поддельные данные исключительно IP-адресам DVN, при этом выглядя честными для всех остальных наблюдателей. Такое избирательное отравление позволило вредоносным нодам сохранять видимость легитимности, одновременно подавая ложную информацию в критическую инфраструктуру проверки.

На последней стадии злоумышленник организовал скоординированную DDoS-атаку на оставшиеся чистые ноды, вынудив полностью переключиться на скомпрометированную инфраструктуру. Используя poisoned-ноды как единственный доступный вариант, он отправил поддельное межцепочечное сообщение, утверждая, что оно исходит от развертывания KelpDAO Unichain. DVN подтвердил это сообщение, основываясь на своей сфабрикованной картине состояния в блокчейне, и, поскольку кворум мультисигнатуры 2 из 3 был достигнут, поддельный пакет был признан действительным, что вызвало выпуск 116 500 rsETH на адрес, контролируемый злоумышленником.

**Механизм распространения**

Что отличает этот взлом от более простых атак на мосты, так это сложное использование композиционной природы DeFi для усиления ущерба. Вместо попытки продать украденные rsETH на открытых рынках, что привело бы к падению цены токена и ограничению прибыли злоумышленника, он вместо этого заложил неподдерживаемые токены в качестве залога в нескольких кредитных протоколах. Эта стратегия позволила извлечь реальную ценность из экосистемы, оставив за собой токсичный долг.

Злоумышленник заложил 89 567 rsETH в качестве залога на Aave V3, взяв взаймы примерно $190 миллионов WETH и wstETH. Дополнительные депозиты были сделаны в Compound V3, Euler и другие кредитные площадки. Этот подход эксплуатировал фундаментальную асимметрию в DeFi-кредитовании: протоколы принимали rsETH в качестве залога по номинальной стоимости, хотя токены фактически были неподдерживаемыми и практически бесполезными. В результате возник плохой долг, который теперь числится в книгах этих протоколов, а взятый в долг ETH представляет собой реальную ценность, извлечённую у вкладчиков.

**Экономическая оценка воздействия**

Финансовые последствия выходят далеко за рамки первоначальной стоимости взлома в $292 миллионов. Только Aave по моделированию сталкивается с возможными сценариями плохого долга в диапазоне от 123,7 миллиона долларов при равномерных предположениях о де-пеге до 230,1 миллиона долларов при сценариях изоляции Layer2. В пуллах WETH протокола теперь находится примерно $177 миллионов долларов плохого долга, что соответствует ETH, взятому взаймы с использованием украденного rsETH в качестве залога. Этот долг фиксирован в ETH, в то время как залог обесценился, создавая нерешаемое несоответствие без внешнего вмешательства.

Более широкий рынок DeFi испытал значительные эффекты распространения. Общая заблокированная стоимость (TVL) Aave снизилась с примерно $22 миллиардов до 15,4 миллиарда долларов за 48 часов, что составляет снижение на 30%, поскольку вкладчики спешили вывести средства. Более чем $7 миллиардов активов покинул ведущие протоколы, только Aave потерял 6,2 миллиарда долларов оттока. Токен AAVE снизился примерно на 11%, в то время как rsETH торгуется с заметным де-пегом, колеблясь между 1680 и 2250 долларов на различных биржах по сравнению с предполагаемым привязкой к ETH.

Касательно стратегии Lido EarnETH, было выявлено косвенное воздействие примерно в 21,6 миллиона долларов в rsETH, что составляет около 9% от общего объема активов этого хранилища. Этот факт подчеркивает, как взаимосвязанная природа стратегий DeFi может передавать риски между, казалось бы, независимыми протоколами.

**Объединённая реакция DeFi**

Реакция отрасли на этот кризис была беспрецедентной и поучительной. Aave взяла на себя инициативу по координации так называемого "DeFi United" — совместных усилий по восстановлению, включающих несколько крупных протоколов. Эта инициатива представляет собой значительный шаг в развитии управления DeFi, переходя от изолированных ответных мер к скоординированному управлению кризисами по всей экосистеме.

По состоянию на 25 апреля DAO Aave предложила выделить 25 000 ETH из своего казначейства для поддержки восстановления. Эта сумма, оцениваемая примерно в 65–70 миллионов долларов, должна покрыть оставшийся дефицит примерно в 75 081 ETH после учета существующих обязательств. DAO Lido предложила внести до 2 500 stETH, а также были зафиксированы несколько "сильных индикативных обязательств" от других участников экосистемы, включая EtherFi, Ethena и Mantle Network, которая предоставила кредитный лимит в 30 000 ETH.

Совет безопасности Arbitrum заморозил и перевёл 30 766 ETH на сумму примерно $80 миллионов долларов с адреса, связанного с атакующим, в целях обеспечения хранения, что демонстрирует, что быстрое управление может частично снизить ущерб даже после сложных взломов.

**Атрибуция и геополитические аспекты**

Chainalysis и LayerZero связали атаку с группой Lazarus из Северной Кореи, в частности с подгруппой TraderTraitor. Эта атрибуция добавляет геополитический аспект к инциденту, подчеркивая, что государственные акторы все активнее нацеливаются на протоколы DeFi как источники финансирования санкционированных режимов. Участие продвинутых национальных акторов свидетельствует об эскалации угроз в сфере децентрализованных финансов.

Также эта атрибуция вызвала споры между KelpDAO и LayerZero относительно ответственности за взлом. LayerZero утверждает, что конфигурация 1-of-1 DVN была выбором KelpDAO и не является рекомендуемой настройкой по умолчанию, в то время как KelpDAO настаивает, что скомпрометированный проверяющий — инфраструктура LayerZero, и что эта конфигурация была стандартной настройкой при внедрении LayerZero. Этот спор подчеркивает сложность определения ответственности в взаимосвязанных системах DeFi.

**Системные последствия для DeFi**

Взлом rsETH выявил несколько критических уязвимостей текущей архитектуры DeFi. Во-первых, зависимость от конфигураций с одной точкой отказа в межцепочечных мостах представляет недопустимый риск при таких масштабах. Настройка 1-of-1 DVN, которая позволила осуществить этот взлом, должна служить предостережением для всех протоколов, использующих межцепочечную инфраструктуру.

Во-вторых, этот инцидент демонстрирует, как композиционная природа DeFi, хотя и обеспечивает мощные финансовые инструменты, создает механизмы системного распространения рисков. Возможность заложить залог в нескольких протоколах и извлечь реальную ценность из неподдерживаемых активов усиливает эффект масштабирования, превращая отдельные инциденты в кризисы всей экосистемы.

В-третьих, инцидент выявил ограничения текущих практик управления рисками в кредитовании DeFi. Принятие rsETH в качестве залога с высокими соотношениями заемных средств без должного учета рисков безопасности мостов отражает тенденцию отрасли недооценивать хвостовые риски в погоне за конкурентными доходами.

**Уроки и перспективы**

Взлом rsETH, вероятно, повлияет на развитие DeFi в ближайшие годы. Из этого инцидента можно выделить несколько ключевых уроков:

Межцепочечная инфраструктура требует принципиально иных предположений о безопасности, чем системы на одной цепи. Сложность проверки состояния на нескольких цепях создает поверхности атак, которые могут использовать продвинутые злоумышленники. Протоколы должны внедрять резервные механизмы проверки и избегать единственных точек отказа в конфигурациях мостов.

Параметры риска для активов-залога должны учитывать оценки безопасности мостов. Текущая практика обращения с межцепочечными активами как с эквивалентами их нативных аналогов игнорирует дополнительные риски, связанные с межцепочечной инфраструктурой. Протоколы кредитования должны внедрять меньшие соотношения заемных средств и более высокие пороги ликвидации для межцепочечных активов.

Мониторинг в реальном времени и соблюдение инвариантов являются необходимыми для раннего обнаружения взломов. Атака rsETH могла быть предотвращена или смягчена посредством постоянной проверки соответствия выпущенных токенов на целевых цепях с сожженными токенами на исходных цепях. Такие системы мониторинга должны стать стандартом для всех межцепочечных протоколов.

Объединённая реакция DeFi показывает, что координация экосистемы возможна и эффективна. Хотя децентрализованное управление обычно движется медленно, кризисные ситуации продемонстрировали, что протоколы могут быстро координироваться при угрозах существования. Этот потенциал коллективных действий следует закрепить через отраслевые стандарты и соглашения о взаимопомощи.

**Заключение**

Взлом rsETH — это одновременно и провал, и успех децентрализованных финансов. Провал связан с недостаточной безопасностью, которая позволила продвинутому злоумышленнику использовать фундаментальные уязвимости межцепочечной инфраструктуры. Успех — в способности отрасли скоординировать ответ, который в конечном итоге может предотвратить худшие сценарии для пользователей и вкладчиков.

По мере продолжения восстановления и внедрения протоколами полученных уроков этот инцидент, вероятно, запомнится как поворотный момент в зрелости DeFi. Переход от изолированных протоколов к взаимосвязанной экосистеме несет как возможности, так и риски, и взлом rsETH служит ярким напоминанием о необходимости эволюции безопасности по мере усложнения систем. В ближайшие месяцы отрасль сможет ли превратить эти уроки в долгосрочные улучшения межцепочечной безопасности и управления системными рисками.